AWS Config 관리형 규칙 - AWS Config

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS Config 관리형 규칙

AWS Config AWS 리소스가 일반적인 모범 사례를 준수하는지 평가하는 데 AWS Config 사용하는 사전 정의되고 사용자 지정 가능한 규칙인 AWS 관리형 규칙을 제공합니다. 관리형 규칙을 사용하면 예를 들어 Amazon Elastic Block Store(Amazon EBS) 볼륨이 암호화되었는지 여부 또는 리소스에 특정 태그가 적용되어 있는지 여부 등을 신속하게 평가하기 시작할 수 있습니다. AWS Config 콘솔은 관리형 규칙을 구성하고 활성화하는 프로세스를 안내합니다. AWS Command Line Interface 또는 AWS Config API를 사용하여 관리형 규칙의 구성을 정의하는 JSON 코드를 전달할 수도 있습니다.

관리형 규칙의 동작을 필요에 맞게 사용자 지정할 수 있습니다. 예를 들어, 규칙의 범위를 정의하여 규칙에 대한 평가를 트리거하는 리소스(예: EC2 인스턴스 또는 볼륨)를 제한할 수 있습니다. 규칙의 파라미터를 사용자 지정하여 리소스가 규칙을 준수하기 위해 보유해야 하는 속성을 정의할 수 있습니다. 예를 들어, 보안 그룹이 특정 포트 번호로 들어오는 트래픽을 차단하도록 파라미터를 사용자 지정할 수 있습니다.

비용 고려 사항

리소스 기록과 관련된 비용에 대한 자세한 내용은 AWS Config 요금을 참조하십시오.

권장 사항: 규칙을 삭제하기 전에 리소스 규정 준수 기록을 중단하세요.

계정에서 규칙을 삭제하기 전에 AWS::Config::ResourceCompliance 리소스 유형에 대한 기록을 중지하는 것이 좋습니다. 규칙을 삭제하면 구성 항목 (CI) 이 AWS::Config::ResourceCompliance 생성되고 AWS Config 구성 레코더 비용에 영향을 미칠 수 있습니다. 많은 리소스 유형을 평가하는 규칙을 삭제하면 기록된 CI 수가 급증할 수 있습니다.

모범 사례:

  1. 녹화 중지 AWS::Config::ResourceCompliance

  2. 규칙 삭제

  3. 에 대한 녹화를 켜십시오. AWS::Config::ResourceCompliance

트리거 유형

계정에 규칙을 추가한 후 리소스를 규칙의 조건과 AWS Config 비교합니다. 이 초기 평가 이후에는 평가가 트리거될 때마다 평가를 AWS Config 계속 실행합니다. 평가 트리거는 규칙의 일부로 정의되며 다음과 같은 유형을 포함할 수 있습니다.

트리거 유형 설명
구성 변경 AWS Config 규칙 범위와 일치하는 리소스가 있고 리소스 구성이 변경된 경우 규칙에 대한 평가를 실행합니다. 구성 항목 변경 알림을 AWS Config 보낸 후 평가가 실행됩니다.

규칙의 범위를 정의하여 평가를 유발하는 리소스를 선택합니다. 범위에는 다음이 포함될 수 있습니다.

  • 하나 이상의 리소스 유형

  • 리소스 유형과 리소스 ID의 조합

  • 태그 키와 값의 조합

  • 기록된 모든 리소스가 생성, 업데이트 또는 삭제된 때

AWS Config 규칙 범위와 일치하는 리소스 변경이 감지되면 평가를 실행합니다. 범위를 사용하여 평가를 시작하는 리소스를 제한할 수 있습니다.

주기적 AWS Config 선택한 빈도로 규칙 평가를 실행합니다 (예: 24시간마다).
하이브리드 일부 규칙에는 구성 변경과 주기적 트리거가 모두 있습니다. 이러한 규칙의 경우 구성 변경이 감지될 때 그리고 지정한 빈도에 따라 리소스를 AWS Config 평가합니다.

평가 모드

AWS Config 규칙에는 두 가지 평가 모드가 있습니다.

평가 모드 설명
사전

리소스를 배포하기 전에 평가하려면 사전 평가를 사용합니다. 이를 통해 해당 지역의 계정에 설정된 사전 예방 규칙 세트를 고려하여 리소스 속성 집합이 AWS 리소스를 정의하는 데 사용되는 경우 COMPLIANT인지 NON_COMPLIANT인지를 평가할 수 있습니다.

자세한 내용은 평가 모드를 참조하세요. 사전 평가를 지원하는 관리 규칙 목록은 평가 모드별 관리 규칙 목록을 AWS Config 참조하십시오.

탐지 탐지 평가를 통해 이미 배포된 리소스를 평가합니다. 이를 통해 기존 리소스의 구성 설정을 평가할 수 있습니다.
참고

사전 예방 규칙은 NON_COMPLIANT로 플래그가 지정된 리소스를 수정하거나 배포를 금지하지 않습니다.